Security

如果您需要打開從 DMZ 到 LAN 的埠,那麼分離在什麼時候不再值得?

  • September 11, 2009

如果您有一個帶有一個或多個伺服器/服務(可能是 FTP、HTTP 和 SMTP)的 DMZ。並且您有一個帶有典型伺服器服務(如文件共享、Active Directory、數據庫伺服器)的 LAN。

根據服務和資源的整合,DMZ和區域網路之間的防火牆可以有很多開放的埠。在什麼時候您會考慮不使用 DMZ?

謝謝!

沒有我會考慮不使用 DMZ 的實際測量。有了安全性,您可以獲得的每一點額外的幫助。這個想法是,限制可能的攻擊數量。 作為管理員,我們經常不得不為我們被允許實施的安全性而戰,所以盡你所能。 即使您必須將區域網路中的主機完全打開到DMZ,一台主機也比每台主機都要好得多。

您所說的一個實際範例是將前端交換伺服器放在 DMZ 中,並將後端和活動目錄放在 LAN 中。儘管這些仍然可以從 DMZ 到達,但至少您已經限制了通過的可能方式。然後,您可以努力關注與這些特定服務相關的任何安全通知。

引用自:https://serverfault.com/questions/63673